Процедурные аспекты управления операционными рисками

Управление операционными рисками осуществляется посредством выполнения на регулярной основе процедур идентификации риска, оценки и мониторинга его величины, контроля его соответствия допустимым значениям [105].

Основные процедуры управления операционными рисками

Таблица 3.6

Процедура

Краткое содержание

1

2

Идентификация риска

Идентификация операционных рисков как событий, произошедших или могущих произойти в ходе выполнения операций и вызвавших или способных вызвать потери, которая осуществляется на основе утвержденной единообразной классификации рисков

Измерение риска

Измерение величины потенциальных потерь от наступления рискового события, которое производится на основе исторических данных о рисковых событиях. Измерение вероятности возникновения рискового события в течение заданного временного интервала в будущем, с учетом текущих параметров операционной деятельности, влияющих на возможность возникновения рискового события, и существующего уровня внутреннего контроля

Оценка риска и уровень его контроля

Оценка риска с позиции его приемлемости для деятельности организации и необходимости принятия мер по управлению им. Оценка применяемого в отношении данного вида операций уровня внутреннего контроля (предварительного, текущего, последующего) на предмет его способности предотвратить возникновение такого рискового события

Реализация меро

приятий

Принятие мер по предотвращению возникновения рисковых событий в будущем

Мониторинг

Осуществление мониторинга операций на предмет наличия операционного риска

Укрупненная структура процедур управления операционными рисками может быть представлена в виде последовательности мероприятий (табл. 3.6).

По нашему мнению, в ПУОР должно быть раскрыто следующее.

1. Подходы к идентификации операционных рисков.

Систематическая идентификация источников операционных рисков, измерение их совокупной величины по всей деятельности и величины в разрезе отдельных направлений деятельности требует применения единообразной и последовательной методики анализа. Результаты измерения операционного риска должны давать возможность не только сравнения величины операционного риска с результатами количественной оценки стратегического, финансового, юридического и репутационного рисков, но и получения оценки совокупного риска деятельности организации в целом.

Идентификация и измерение операционного риска основываются на одном из нижеследующих базовых подходах, или их комбинации [100]:

  • - «сверху вниз» - объектами оценки и анализа являются выявленные фактические или потенциальные рисковые события. Рисковые события подразумеваются как конечные проявления операционного риска, рассматриваемые с вершины организационной структуры деятельности организации;
  • - «снизу вверх» - объектами анализа являются отдельные факторы и источники риска, а также сферы их взаимодействия (люди, процессы, технологии). В отличие от подхода «сверху вниз», который ориентирует на проявления риска, данный подход концентрирует внимание на исходных внешних и внутренних риск-факторах, точки взаимодействия, которых основывают базу для идентификации, оценки вероятности и возможных последствий операционных рисков. Целью анализа является определение перечня потенциально опасных событий, которые могут помешать достигнуть поставленных целей. Каждому рисковому событию ставится в соответствие иерархическая, основанная на логике, структура предшествующих событий, обусловивших величину операционных потерь или вероятность их возникновения. На основе анализа данной иерархии формируется дерево причинно-следственных связей,

создающее базу для принятия решений по управлению операционными рисками.

По нашему мнению, подход «сверху вниз» эффективнее применять при работе с изученными рисками, по которым имеется статистическая база данных. В свою очередь, подход «снизу вверх» дает большую возможность для выявления новых операционных рисков, следовательно, его применение целесообразно при анализе новых направлений и сфер деятельности организации.

Возможными способами идентификации операционных рисков могут являться:

  • - анализ централизованно формируемой базы данных о внутренних рисковых событиях, а также рисковых событиях сторонних организаций;
  • - опросы и консультации с представителями структурных подразделений, осуществляющих операционную деятельность;
  • - регулярные процедуры самооценки, проводимые в рамках структурных подразделений, с использованием анкетирования или средств информационных технологий.

В основе идентификации операционных рисков лежит декомпозиция деятельности на отдельные операционные направления - бизнес-процессы.

2. Методы измерения и оценки операционных рисков.

Считаем, что применяемые методики измерения и оценки операционных рисков должны позволять определять величины операционных рисков и средств, необходимых на управление ими, а также давать возможность принятия решений по перераспределению рисков, управлению капиталом и контролю его достаточности, по управлению эффективностью операций, с учетом уровня риска. Методики должны обеспечивать возможность проведения сравнения величины операционных рисков с величиной прочих рисков: стратегического, финансового, юридического и репутационного.

Измерение величины операционных рисков на практике производится следующими количественными методами [100]:

  • - в методах, основанных на анализе волатильности доходов, величина операционных рисков рассматривается как волатильность дохода деятельности организации, очищенная от составляющих, обусловленных прочими рисками (в рамках БСРМ - стратегическим, финансовым, репутационным и юридическим). Указанные методы имеют существенный недостаток - они не позволяют установить причины негативного отклонения дохода, а, следовательно, на основе полученных результатов предотвратить эти отклонения практически невозможно. На практике данные методы измерения могут быть полезны только при распределении средств под возможные потери в результате различных факторов риска [100];
  • - параметрические методы анализа исторических данных о рисковых событиях предполагают измерение величины операционного риска на основе расчетных параметров вероятностно-статистического распределения операционных потерь, при этом прогноз ожидаемых убытков делается на основе величины средних убытков, а неожидаемых - на основе стандартного отклонения или иного доверительного интервала. Распределение вероятностей убытков может быть определено анализом отдельных рисковых событий, групп событий и бизнес-процессов, а также анализом всех агрегированных фактических и потенциальных потерь в ходе осуществления деятельности организации. Неполнота или отсутствие данных о потерях внутри организации могут быть компенсированы использованием верифицированной информации из сторонних баз данных, масштабированной применительно к условиям операционной деятельности организации;
  • - при сценарных методах анализа разрабатываются вероятные сценарии возникновения рисковых событий, способных оказать существенное влияние на финансовый результат деятельности организации. Сценарии разрабатываются централизованно экспертным путем, в том числе на основе анализа структуры бизнес-процессов, баз данных о рисковых событиях и т. д.

В случаях невозможности адекватного применения указанных выше методов о величине операционных рисков можно судить по ключевым индикаторам деятельности [105]. Выделяют три основные группы данных индикаторов:

  • - индикаторы текущей деятельности - максимально допустимое число произошедших за установленный период времени отдельных наиболее важных рисковых событий, при превышении которого следует принимать меры по нейтрализации операционного риска. Рисковыми событиями в рамках данного метода может быть количество сорванных сделок и жалоб клиентов, показатели текучести кадров, время простоя или число сбоев работы и время простоя производственного оборудования и информационных систем, число ошибок проводок или сделок. Частота проведения мониторинга индикаторов деятельности может различаться в зависимости от их степени влияния на результаты деятельности организации;
  • - индикаторы эффективности контроля - показатели, характеризующие качество и эффективность существующих механизмов внутреннего контроля. Такими индикаторами могут являться число выявленных нарушений сотрудниками своих должностных обязанностей и полномочий, число сторнировочных записей по счетам бухгалтерского учета, неподтвержденных контрагентами сделок и т.д.;
  • - комплексные индикаторы риска - комбинации отдельных индикаторов деятельности и контроля, мониторинг которых должен осуществляться наиболее часто.

Все перечисленные индикаторы чаще всего используются для контроля операционной деятельностью организации. При появлении негативных сигналов от указанных индикаторов возрастает вероятность операционных рисковых событий. Соответственно, можно снизить такую вероятную опасность, усилив контроль ситуации [100].

Наиболее распространенным качественным методом измерения рисков является метод оценочных листов, который имеет целью определение наиболее существенных факторов и источников операционного риска, связанных с текущими условиями деятельности организации, а также позволяет осуществлять мониторинг изменения уровня операционного риска в разрезе различных бизнес-процессов. Метод предполагает заполнение структурными подразделениями централизованно разрабатываемых опросных листов, содержащих несколько десятков вопросов на качественную оценку уровня риска.

Перечень вопросов покрывает аспекты вероятности и существенности фактических и потенциальных рисковых событий, уровня применяемого внутреннего контроля, а также возможных мер, направленных на снижение вероятности рисковых событий и величины потенциальных операционных потерь. Риски идентифицируются и оцениваются на основании единой классификации операционных рисков. Полученные агрегированные результаты анализируются на предмет выявления в бизнес-процессах наиболее подверженных операционному риску зон, с последующим принятием мер по их устранению.

3. Методы управления операционными рисками.

Основными методами управления операционными рисками являются:

  • - применение процедур внутреннего контроля и аудита бизнес-процессов;
  • - установление ограничений по срокам и объемам операций;
  • - поддержание баланса между единоличным и коллегиальным принятием решений;
  • - страхование операционных рисков, связанных с профессиональной и хозяйственной деятельностью;
  • - снижение операционных рисков, связанных с бизнес-процессами, проводимыми сторонними организациями.
  • 4. Методы организации сбора информации, используемой для оценки и мониторинга операционных рисков.

Управление операционными рисками должно основываться на систематическом сборе сведений о рисковых событиях, факторах и источниках операционного риска, включая сведения о фактических потерях, связанных с операционными рисками.

Возможными источниками данных о рисковых событиях, необходимых для анализа и оценки операционных рисков, должны быть следующие сведения:

  • - структурных подразделений о фактических и потенциальных рисковых событиях и операционных потерях, обусловленных проведением операций;
  • - бухгалтерского учета о прямых и косвенных операционных потерях, связанных с идентифицированными рисковыми событиями;
  • - рисковых событиях, имевших место в сторонних организациях и масштабированные с учетом особенностей операционной деятельности и систем внутреннего контроля. Источниками этих сведений могут быть бизнес-партнеры, контрагенты, страховые компании, средства массовой информации.

Сбор сведений о рисковых событиях должен охватывать все основные направления деятельности организации, т.е. наиболее существенные для нее результаты и достижения поставленных стратегических целей. Порядок сбора и представления сведений должен быть установлен внутренними нормативными документами.

Сбор и представление сведений должны осуществляться структурными подразделениями регулярно, без временных разрывов, и основываться на идентификации рисковых событий, связанных со всеми проводимыми операциями, на основе утвержденной классификации операционных рисков в разрезе видов рисковых событий, бизнес-процессов и источников риска (рис. 3.4).

Подготовка исходной информации

Рис. 3.4. Подготовка исходной информации

Представляемые в подразделение по управлению рисками сведения о рисковых событиях должны обладать достаточной детализацией для проведения их последующего анализа в целях определения величины и структуры риска в разрезе бизнес-процессов, структурных подразделений, временной структуры, географических мест возникновения и т. д.

В целях обеспечения унификации и полноты собираемых сведений о рисковых событиях подразделение по управлению рисками должно разработать нормативные документы, устанавливающие:

  • - классификационные перечни операционных рисков, рисковых событий и бизнес-процессов;
  • - минимальный перечень данных, необходимых для проведения оценки операционных рисков;
  • - порядок и регламент их представления в централизованную информационную базу.

Структурные подразделения, проводящие связанные с операционными рисками операции, в обязательном порядке должны осуществлять:

  • - анализ проводимых операций и условий их проведения на предмет идентификации и прогнозирования рисковых событий;
  • - подготовку сведений в разрезе отдельных рисковых событий (дата возникновения и выявления, сумма потерь, наличие страхового покрытия) с их предварительной классификацией (в разрезе видов рисковых событий, бизнес-процессов, источников и факторов операционных рисков);
  • - представление информации в централизованную базу данных в соответствии с установленным порядком.

Ответственность за полноту, точность и своевременность представления информации несут структурные подразделения, операции которых обусловливают рисковые события.

Подразделение по управлению рисками должно провести предварительный анализ полученных данных на предмет недопущения дублирования сведений, связанных с одинаковыми рисковыми событиями, а также исключения событий, связанных с рисками, отличными от операционного (стратегического, финансового, юридического и репутационного).

Анализ показателей и принятие решения

Рис. 3.5. Анализ показателей и принятие решения

Процедуры систематического сбора сведений о фактических и потенциальных рисковых событиях, идентифицированных структурными подразделениями, централизованное хранение и обработка данных, расчет показателей величины операционных рисков с последующим формированием отчетности должны проводиться в максимально полной мере при использовании возможности автоматизированных информационных систем. Полученный информационный массив является основой для анализа эффективности планирования и организации риск-менеджмента.

Таким образом, необходимость создания и внедрения системы управления операционными рисками организации реального сектора экономики определяется потребностью в консолидации усилий в этой сфере, создании стандартизированных подходов к выявлению и ликвидации угроз экономической безопасности в масштабах хозяйствующего субъекта. Основными целями построения системы управления операционным риском считается оптимизация процесса стратегического менеджмента в условиях действия внешних и внутренних угроз, достижение целевых критериев-ориентиров, предусмотренных долгосрочной программой развития организации, повышение эффективности хозяйственной деятельности и обеспечение системного подхода при принятии управленческих решений (рис. 3.5).

 
< Пред   СОДЕРЖАНИЕ     След >